おはようございます。
ここ最近、クライアント企業や友人から「中小企業が取り組みやすいサイバー対策って、どんなものがあるの?」と聞かれることが増えてきました。脆弱性診断やセキュリティ運用の必要性は理解しつつも、「まず何から手をつければいいのか分からない」という声が多いのが実情です。
そこで、実際に関係者へヒアリングした内容を整理したところ、どうやら次の3系統に大別できそうです。
1.公的スキーム
2.自動型の脆弱性診断ツール
3.サイバー支援パッケージ
いずれも“導入のしやすさ”と“理解のしやすさ”が共通点。専門の担当者が社内にいない、あるいは潤沢な予算が組めない中小企業にとって、現実的な選択肢になっているようです。

1.公的スキーム

(1) サイバーセキュリティお助け隊

https://www.ipa.go.jp/security/otasuketai-pr/
相談・監視・UTM・駆け付け・保険がワンセット。中小企業が最初に踏み出す一歩として位置付けられています。統計データは追い切れませんでしたが、体感的にも利用が最も多いサービスの一つではないでしょうか。

(2) IPAの専門家リスト

https://www.ipa.go.jp/security/sme/shien/index.html
専門家派遣が受けられる制度で、「軽めの診断+改善ポイント」を依頼しやすいという声も。一方で、専門家派遣はテーマを問わず品質にばらつきがあるため、利用時には“専門家の相性”を見極める必要がありそうです。

2.自動の脆弱性診断ツール

(1) WEBセキュリティ診断くん

https://www.ipros.com/product/detail/2001044435/
簡単な登録で利用でき、診断結果が数値化されて表示されるため、非エンジニアでも理解しやすい構成になっています。無料プランと有料プランがあり、有料版では毎日のスキャンが可能。

(2) GMO ネットde診断

https://product.gmo-cybersecurity.com/net-de-shindan/lp_enterprise/
ヒアリングした範囲では利用者はいませんでしたが、一定の利用規模があるようです。中小企業限定というより、幅広い企業向けの印象です。

(3) AeyeScan

https://www.aeyescan.jp
Webサイトの脆弱性を自動でスキャンし、レポート化してくれるサービス。「まずは現状把握をしたい」という企業が最初に選びやすいツールです。

3.パッケージ型のサイバー支援サービス

(1) 商工会議所系の見守りサービス

例:東京商工会議所
https://www.tokyo-cci.or.jp/digital-support/security/
ITに詳しくない経営者が最初に相談しやすい窓口のひとつ。
「Googleやサイボウズを使っていれば十分」と考えているケースも多く、そもそも“脆弱性監視サービス”の存在を知らない人も少なくありません。実務的にも、ここが最初の接点になる企業が多い印象です。

(2) 民間のワンストップ(監視+教育+駆け付け)

「自分たちだけでは運用が難しい」という企業が選びやすいカテゴリーです。
① BBソフトサービス(BBSS)
https://www.bbss.co.jp/index.html
ソフトバンクグループ。詐欺対策ソフト、見守りサービス、法人向けセキュリティサポートなど、中小企業向けに特化した構成が特長です。情シス不在の企業と相性が良い印象。
② JSOC マネージド・セキュリティ・サービス(LAC)
https://www.lac.co.jp/operation/jsoc_mss.html
SOC監視、脅威検知、インシデント対応、教育など総合的な支援を提供。大企業の利用が多いイメージですが、中小企業向けライト版も存在します。
③ 三井物産セキュアディレクション(MBSD)
https://www.mbsd.jp
ネットワーク監視、EDR運用、攻撃分析、改善提案など、高度な技術に強み。小規模企業でも“しっかりした監視”を求めるケースに選ばれています。
④ Canon IT Solutions(ESET+SOC運用)
https://www.canon-its.co.jp
ESET製品の運用代行に加え、監視、問い合わせ対応、社員教育まで一括支援。「アンチウイルスも含めて全部任せたい」という企業向け。
⑤ NTT東西・NTTセキュリティ系「おまかせセキュリティサービス」
(例:NTT西日本)
https://business.ntt-west.co.jp/service/security/security_omakase/
通信インフラとセットで導入できる安心感があり、地方の企業を中心に利用が多いようです。
⑥ KDDI「KDDI Managed Security」
https://biz.kddi.com/service/mss/
SOC・EDR・脅威分析・教育コンテンツまでワンストップ。IT担当者を置けない企業にはありがたい構成です。

まとめ:中小企業が踏むべき“3つのステップ”

関係者の声を総合すると、多くの企業は次のような順序で対策を進めているようです。
「公的スキームで基盤づくり
 → 自動診断で現状チェック
 → 余力があればパッケージ支援を追加」
どれかひとつを選べば良い、というものではなく、段階的に積み上げていくイメージに近いと言えます。
釈迦に説法な部分も多いかと思いますが、何かの参考になれば幸いです。